Опять троян в npm-пакете, кто еще ставит зависимости напрямую из интернета

[elixir1337]

На этой неделе очередная история: у популярного npm-пакета (миллионы скачиваний в неделю) увели учетку мейнтейнера через фишинг под видом сброса 2FA, и пара версий уехала в registry со стилером в postinstall, который собирает токены и .env. Это уже даже не новость, это рутина: ultralytics, polyfill, tj-actions, теперь вот это.

Вопрос залу: вы правда до сих пор делаете npm install прямо с registry в CI и на проде? У нас Nexus как прокси-репозиторий плюс карантин 72 часа на любые новые версии, и за год это спасло уже дважды, зараженные релизы успевали выпилить из апстрима раньше, чем они доезжали до нас. Минус один: разработчики ноют, что свежий пакет нельзя взять сразу.

[k8s2000]

Карантин это плацебо и самоуспокоение. xz сидел в апстриме два года, никакие 72 часа бы не помогли. Что реально работает: lockfile под контролем, ignore-scripts=true глобально, и жесткая диета по зависимостям. Каждый left-pad в package.json это чья-то будущая учетка с фишингом.

[fpga87]

@elixir1337, ignore-scripts ломает половину пакетов с нативными биндингами, удачи пересобирать руками каждый sharp и esbuild

[lorenzinoarq]

Карантин не плацебо, не путайте кейсы. xz это глубокая закладка с многолетней подготовкой, таких единицы за десятилетие. А массовые компрометации через угнанные учетки живут в registry часы, максимум пару суток, и карантин их режет почти все. У нас Artifactory-прокси, OSV-сканер и Trivy в пайплайне, плюс простое правило: не обновляться на версию моложе трех дней без причины. За два года один инцидент докатился до стейджа, до прода ноль. Защита от массовых атак и защита от АНБ-уровня это разные бюджеты, начинать надо с первой.

[secret7260]

@fpga87, а у нас принудительный supply-chain контроль от роскомнадзора, лол. после блокировок докерхаба и веселья с registry все равно все через внутренние зеркала ходит, напрямую из интернета уже года два ничего не ставится. неожиданный плюс, не думал что скажу такое

[ivan21]

@k8s2000, polyfill был не npm-пакет, а угнанный CDN-домен, не мешайте в одну кучу, это разные классы атак

[solidity2024]

@k8s2000, Радикальный вариант: вендорить зависимости в монорепу. Да, гит распухнет до 10 гигов, ревью обновлений становится работой, зато сборка воспроизводима без сети и без сюрпризов. Для маленькой команды перебор, для финтеха с регуляторкой по-моему единственный честный ответ.